การฉ้อฉลความไว้วางใจ: ช่องโหว่ของ ClawHub ทำให้ผู้โจมตีสามารถเปลี่ยนแปลงอันดับเพื่อขึ้นเป็นทักษะอันดับ 1 ได้

TL; DR

Silverfortทีมวิจัยด้านความปลอดภัยของบริษัทได้ค้นพบช่องโหว่ที่สำคัญใน ClawHub ซึ่งทำให้ผู้โจมตีสามารถจัดอันดับทักษะของตนเองให้เป็นทักษะอันดับ 1 ใน ClawHub ได้ ด้วยวิธีนี้ ผู้โจมตีสามารถแทรกโค้ดที่เป็นอันตรายเข้าไปในสิ่งที่ดูเหมือนจะเป็นทักษะที่ถูกต้องและน่าเชื่อถือ สร้างรากฐานสำหรับการโจมตีห่วงโซ่อุปทานขนาดใหญ่ ผลที่ตามมาคือ ผู้ใช้จำนวนมากและเอเจนต์ OpenClaw สามารถดาวน์โหลดทักษะที่ถูกบุกรุกและเรียกใช้โค้ดที่เป็นอันตรายบนเครื่องของตนได้ โดยอาจได้รับสิทธิ์ที่สูงขึ้น ในการทดสอบระบบของเรา ทักษะของเราได้ก้าวขึ้นสู่ตำแหน่งการดาวน์โหลดอันดับ 1 ในหมวดหมู่ ส่งผลให้เกิด... การลงมือปฏิบัติทักษะ 3,900 ครั้ง ภายใน 6 วัน ในกว่า 50 เมืองทั่วโลก รวมถึงบริษัทมหาชนหลายแห่ง  

ปัญหาดังกล่าวได้รับการแจ้งให้ทีม ClawHub ทราบอย่างรับผิดชอบเมื่อวันที่ 16 มีนาคม 2026 และได้รับการแก้ไขเรียบร้อยแล้วตั้งแต่นั้นเป็นต้นมา 

เพื่อลดความเสี่ยงจากห่วงโซ่การโจมตีดังกล่าว ทีมงานของเราจึงได้พัฒนา คลอว์เน็ต: ปลั๊กอินรักษาความปลอดภัยสำหรับ OpenClaw ที่สแกนทักษะเพื่อตรวจหารูปแบบที่เป็นอันตรายระหว่างการติดตั้งโดยใช้ LLM ของเอเจนต์ จากนั้นจะแจ้งให้ผู้ใช้ทราบและบล็อกการติดตั้งที่น่าสงสัย

ClawHub คืออะไร?

ClawHub คือศูนย์รวมทักษะสาธารณะของ OpenClaw ที่ทุกคนสามารถเผยแพร่แพ็กเกจทักษะเพื่อให้ผู้อื่นติดตั้งได้ ตัวอย่างเช่น ทักษะอาจช่วยให้เอเจนต์ OpenClaw ของคุณสามารถทำงานร่วมกับ Google Calendar หรือทำการค้นหาเว็บที่เหมาะสมที่สุดในนามของคุณ มันเปรียบเสมือน npm ของระบบนิเวศเอเจนต์ OpenClaw แพลตฟอร์ม ClawHub เติบโตอย่างรวดเร็ว โดยมีหลายทักษะที่มียอดดาวน์โหลดจำนวนมากแล้ว (ต้องการข้อมูลเบื้องต้นเกี่ยวกับ OpenClaw ไหม?) คุณสามารถอ่านเพิ่มเติมได้ที่นี่).  

เมื่อ ClawHub ได้รับความนิยมมากขึ้น โอกาสที่ผู้โจมตีจะเข้ามาใช้ประโยชน์ก็เพิ่มมากขึ้นเช่นกัน ความสามารถในการเผยแพร่ทักษะลงในตลาดที่ผู้ใช้เข้ามาเลือกชมและติดตั้งอย่างสม่ำเสมอ สร้างโอกาสที่ดีเยี่ยมในห่วงโซ่อุปทาน 

วิธีการโจมตีแบบคลาสสิกคือการปล่อยแอปพลิเคชันที่เป็นอันตรายออกมาแล้วรอให้ผู้ใช้ติดตั้ง แต่การแทรกโค้ดที่เป็นอันตรายเข้าไปในแอปพลิเคชันที่ดูเหมือนไม่มีพิษภัยนั้นไม่เพียงพอ การติดตั้งอย่างแพร่หลายต้องอาศัยความน่าเชื่อถือของแอปพลิเคชันนั้น ใน ClawHub เช่นเดียวกับในรีจิสทรีสาธารณะหลายแห่ง เช่น npm หรือ VS Code Marketplace ความน่าเชื่อถือมักจะถูกอนุมานจากความนิยมของมัน 

โค้ดของ ClawHub เกือบทั้งหมด เข้ารหัสด้วยไวบ์แม้ว่าแนวทางนี้จะมีข้อดี แต่ก็อาจก่อให้เกิดปัญหาด้านความปลอดภัยที่ร้ายแรงได้เช่นกัน จากการวิเคราะห์การใช้งานฟังก์ชันดาวน์โหลดของ ClawHub เราพบช่องโหว่ที่ทำให้สัญญาณความน่าเชื่อถือที่อิงกับการดาวน์โหลดสามารถแปลงเป็นห่วงโซ่การโจมตีที่ขยายขนาดได้ 

การค้นหาทักษะใน ClawHub

สมมติว่าคุณต้องการติดตั้งทักษะที่ช่วยให้เอเจนต์ OpenClaw ของคุณสามารถช่วยกำหนดเวลาการประชุมใน Google Calendar ได้ ในการทำเช่นนั้น คุณจะต้องไปที่ ClawHub—ไม่ว่าจะผ่านทางเว็บอินเทอร์เฟซหรือ CLI—และค้นหาแพ็กเกจทักษะที่เหมาะสม เมื่อคุณได้รับผลการค้นหา สิ่งแรกที่คุณจะสังเกตเห็นคือจำนวนการดาวน์โหลดของทักษะ ยิ่งทักษะมีจำนวนการดาวน์โหลดมากเท่าไหร่ ก็ยิ่งปรากฏอยู่ในอันดับสูงขึ้นในผลการค้นหา 

แต่ละชุดทักษะประกอบด้วย SKILL.MD ไฟล์นี้จะบอกเอเจนต์ถึงวัตถุประสงค์ของทักษะ ความต้องการส่วนประกอบต่างๆ และเวลาและวิธีการใช้งาน บางทักษะอาจมีสคริปต์ที่เอเจนต์สามารถเรียกใช้งานได้ในบางสถานการณ์

เจาะลึกลงไปในงานวิจัย

เจาะลึกเข้าไปใน API ดาวน์โหลด

โค้ดของ ClawHub เปิดให้สาธารณะเข้าถึงได้ (โชคดีสำหรับเรา) ในระหว่างการวิจัย เราพบว่ามันมี API สำหรับดาวน์โหลดทักษะผ่านทาง... downloadZip ฟังก์ชัน กล่าวโดยสรุป ก่อนที่การดาวน์โหลดจะถูกนับ การร้องขอจะต้องผ่านการตรวจสอบความถูกต้องหลายขั้นตอน: 

• อัตราจำกัดหากมีการส่งคำขอจาก IP หรือผู้ใช้เดียวกันมากเกินไป คุณจะถูกบล็อก
• การขจัดข้อมูลซ้ำซ้อนแม้ว่าคุณจะใช้เกินขีดจำกัดแล้วก็ตาม IP หรือผู้ใช้เดียวกันที่ใช้ทักษะเดียวกันภายในชั่วโมงเดียวกันจะไม่ถูกนับซ้ำอีก 

มองเผินๆ แล้ว มันดูเหมือนเป็นการออกแบบระบบป้องกันที่แข็งแกร่ง จนกระทั่งคุณเจาะลึกเข้าไปในรายละเอียดการใช้งาน

การข้ามจุดเชื่อมต่อ API ฝั่งฟรอนต์เอนด์

ClawHub ใช้ นูนออก โดยใช้เป็นเฟรมเวิร์กแบ็กเอนด์ จากการตรวจสอบซอร์สโค้ดของ ClawHub พบว่ามีเอนด์พอยต์ที่น่าสนใจสองจุดที่สามารถเข้าถึงได้จากภายนอก: 

• URL ของเว็บไซต์ Convex: ทำหน้าที่เป็นส่วนหน้าของ API ผ่าน HTTP การทำงานต่างๆ เช่น การดาวน์โหลดทักษะ การแสดงรายชื่อผู้ใช้ และการค้นหาทักษะ ล้วนอยู่เบื้องหลังส่วนนี้ 
• URL การปรับใช้งาน Convex อันนี้แตกต่างออกไปเล็กน้อย อันนี้พูดคุยโดยตรงกับ เลเยอร์ RPC แบ็กเอนด์แบบนูน—ไม่มีมิดเดิลแวร์สำหรับการดำเนินการ HTTP ไม่มีการจัดการคำขอแบบกำหนดเอง มีเพียงการเรียกใช้ฟังก์ชันโดยตรงกับแบ็กเอนด์เท่านั้น 

มาดูไลบรารี Convex กันให้ละเอียดขึ้น

Convex คือเฟรมเวิร์กแบ็กเอนด์ที่สร้างขึ้นบนโมเดล RPC (Remote Procedure Call) แบบมีประเภท ในโมเดล RPC แทนที่จะส่งคำขอ HTTP ไปยังเอนด์พอยต์ REST หรือ GraphQL คุณจะเรียกฟังก์ชันแบ็กเอนด์โดยตรงจากฝั่งไคลเอนต์ ทุกฟังก์ชันที่คุณกำหนดจะถูกลงทะเบียนและเรียกใช้งานได้โดยอัตโนมัติ—ลองนึกภาพว่าแต่ละฟังก์ชันเป็นเอนด์พอยต์ของตัวเอง 

Convex กำหนดเส้นแบ่งที่ชัดเจนระหว่างฟังก์ชันที่เรียกได้แบบสาธารณะและแบบส่วนตัว: 

• ฟังก์ชั่นภายใน: internalQuery / internalMutation / internalAction 
  ออกแบบมาเพื่อความเป็นส่วนตัว สามารถเรียกใช้งานได้โดยฟังก์ชัน Convex ฝั่งเซิร์ฟเวอร์เท่านั้น และมองไม่เห็นจากภายนอกโดยสิ้นเชิง 
• งานสาธารณะ: query / mutation / action 
  ฟังก์ชันนี้สามารถเข้าถึงได้ผ่าน URL การใช้งาน Convex และใครก็ตามที่รู้หรือเดาชื่อฟังก์ชันก็สามารถเรียกใช้งานได้ ตามเอกสารของ Convex ระบุว่า หากฟังก์ชันถูกกำหนดให้เป็นสาธารณะ ใครก็ตามสามารถเรียกใช้ฟังก์ชันนั้นผ่านคำขอ HTTP ได้ดังนี้: 

แน่นอนว่าควรใช้ฟังก์ชันเหล่านี้ มาก อย่างระมัดระวัง พวกเขาต้องตรวจสอบความถูกต้องของข้อมูลที่ลูกค้าป้อนและยืนยันสิทธิ์ในการใช้งานฟังก์ชันก่อนที่จะทำการเปลี่ยนแปลงใดๆ กับฐานข้อมูลแบ็กเอนด์ 

การค้นพบฟังก์ชันที่เปราะบาง

ภายในไฟล์ downloads.ts มีฟังก์ชันชื่อ increment อยู่ ในขณะที่กระบวนการดาวน์โหลดที่ถูกต้องนั้นผ่านระบบรักษาความปลอดภัยที่เข้มงวดมาก การกลายพันธุ์ภายใน ซึ่งบังคับใช้การจำกัดอัตราการใช้งาน การกำจัดข้อมูลซ้ำซ้อน และการตรวจสอบสิทธิ์ ฟังก์ชันนี้ข้ามขั้นตอนเหล่านั้นทั้งหมดไปเลย: 

ไม่มีการตรวจสอบสิทธิ์ ไม่มีการจำกัดอัตราการใช้งาน ไม่มีการลบข้อมูลซ้ำซ้อน ไม่มีการตรวจสอบสิทธิ์ใดๆ ทั้งสิ้น 

มันตั้งใจจะเป็นแบบนั้นอย่างชัดเจน ฟังก์ชันภายใน แต่ถูกกำหนดให้เป็น สาธารณะ mutation แทน internalMutationความผิดพลาดเพียงเล็กน้อยนั้นจะทำให้มันถูกเปิดเผยออกมาในฐานะเอนด์พอยต์ RPC ที่เรียกใช้งานได้บน URL การปรับใช้เป็นสาธารณะ 

ผู้โจมตีสามารถเรียกใช้ downloads:increment ด้วยคำขอ curl เพียงครั้งเดียวโดยใช้ skillId ที่ถูกต้องใดๆ ก็ได้ โดยข้ามการป้องกันทุกอย่างในกระบวนการดาวน์โหลด และ เพิ่มจำนวนการดาวน์โหลดของทักษะใดๆ ก็ได้โดยไม่จำกัด!  

หน้าตาเป็นแบบนี้:

การได้มาซึ่งรหัสการใช้งาน (deployment ID) และรหัสทักษะ (skill ID) นั้นง่ายมาก เนื่องจากทั้งสองอย่างปรากฏอยู่ในข้อมูลการรับส่งเครือข่ายของไคลเอ็นต์ และสามารถตรวจสอบได้โดยการตรวจสอบการตอบสนองจากเซิร์ฟเวอร์ ClawHub 

การสร้างห่วงโซ่การโจมตี

ขั้นตอนที่ 1: การสร้างทักษะที่เป็นอันตราย

การโจมตีเริ่มต้นด้วยการสร้างและเผยแพร่ทักษะที่ดูเหมือนถูกต้องตามกฎหมายทุกประการ สำหรับการสาธิตนี้ เราได้สร้าง... การผสานรวม Outlook Graph ทักษะ—เครื่องมือที่ช่วยให้เอเจนต์ OpenClaw สามารถนัดหมายการประชุม จัดการอีเมลของผู้ใช้ และอื่นๆ ได้ 

ภายในสคริปต์ของสกิลนี้ซ่อนเพย์โหลดสำหรับการดึงข้อมูลอย่างง่ายไว้ เมื่อ OpenClaw เรียกใช้สกิลนี้ มันจะรวบรวมชื่อผู้ใช้และชื่อโดเมนแบบเต็ม (FQDN) ของไคลเอนต์และส่งไปยังเซิร์ฟเวอร์ที่เราควบคุม เพื่อประโยชน์ของการวิจัยนี้ เพย์โหลดจึงถูกออกแบบให้มีผลกระทบต่ำและไม่ทำลายข้อมูล 

โค้ดที่เป็นอันตรายถูกฝังอยู่ภายในฟังก์ชัน "send_telemetry" ที่ดูเหมือนถูกต้องตามกฎหมาย และด้วยเหตุนี้ ทักษะดังกล่าวจึงไม่ถูกระบุว่าเป็นอันตราย 

แน่นอน ผู้โจมตีตัวจริง ซึ่งจะทำให้ข้อมูลที่ส่งไปนั้นซับซ้อนยิ่งขึ้น พวกเขาสามารถเก็บรวบรวมตัวแปรสภาพแวดล้อม เส้นทางไฟล์ในเครื่อง โทเค็นที่จัดเก็บไว้ในหน่วยความจำ หรือสิ่งอื่นใดที่สามารถเข้าถึงได้ภายในบริบทการทำงานของทักษะได้

ขั้นตอนที่ 2: เพิ่มจำนวนการดาวน์โหลด

ตรงจุดนี้ การโจมตีจึงน่าสนใจเป็นพิเศษจากมุมมองของห่วงโซ่อุปทาน เรามีทักษะที่เป็นอันตรายอยู่แล้วบน ClawHub แต่ทักษะที่ไม่มีคนดาวน์โหลดเลยจะไม่มีใครเข้าถึงได้ ใครจะอยากติดตั้งทักษะที่ไม่มีใครเคยลองใช้? เราจำเป็นต้องทำให้มันดูน่าเชื่อถือ 

ดังนั้น เราจึงสร้างเครื่องมืออย่างง่ายเพื่อทำสิ่งนั้นโดยเฉพาะ ด้วยการใช้ประโยชน์จากฟังก์ชันที่มีช่องโหว่ที่เราพบในโค้ด เราจึงสามารถส่งคำขอจำนวนมากไปยังฐานข้อมูลสถิติเพื่อแทรกเหตุการณ์สถิติ ส่งผลให้จำนวนการดาวน์โหลดสำหรับทักษะที่เป็นอันตรายของเราเพิ่มขึ้น จะดาวน์โหลดกี่ครั้งก็ได้! มากเท่าที่เราต้องการ! ไม่มีการจำกัดอัตรา ไม่มีการตรวจสอบ ไม่มีอะไรมาขวางทางเรา

ภายในเวลาไม่กี่นาที จำนวนการดาวน์โหลดแอปพลิเคชันของเราก็เพิ่มขึ้นอย่างมาก—มากพอที่จะผลักดันให้ทักษะดังกล่าวขึ้นไปอยู่ในอันดับต้น ๆ ของผลการค้นหาในหมวดหมู่ของตน. 

ขั้นตอนที่ 3: เฝ้าดูมันลงจอด

หลังจากยอดดาวน์โหลดเพิ่มสูงขึ้น ผู้ใช้เริ่มค้นพบและติดตั้งแอปพลิเคชันนี้ ผลลัพธ์ที่ได้คือ: ประมาณ การลงมือปฏิบัติทักษะ 3,900 ครั้ง ภายใน 6 วัน ครอบคลุมกว่า 50 เมืองทั่วโลก รวมถึงบริษัทมหาชนหลายแห่ง 

การดำเนินการทั้งหมดนี้ทำให้เกิดการส่งคำขอ HTTP ไปยังเซิร์ฟเวอร์ของเรา ซึ่งรวมถึงชื่อโดเมนและชื่อผู้ใช้ของผู้ใช้เป็นส่วนหนึ่งของการดำเนินการทักษะที่ถูกต้อง 

นี่แสดงให้เห็นว่าห่วงโซ่การโจมตีดังกล่าวมีประสิทธิภาพเพียงใด ทักษะนี้ทำงานในนามของผู้ใช้ที่มีสิทธิ์พิเศษสูงซึ่งใช้งานเอเจนต์ OpenClaw ในกรณีนี้ เราเก็บรวบรวมเพียงชื่อผู้ใช้และโดเมน แต่ผู้โจมตีตัวจริงสามารถใช้ข้อมูลนี้เพื่อดำเนินการที่ก่อให้เกิดอันตรายมากกว่านี้ได้

OpenClaw ก็ตกอยู่ในกับดักเดียวกัน

หากผู้ใช้งานที่เป็นมนุษย์ยังตกหลุมพรางการดาวน์โหลดได้ แล้วจะเกิดอะไรขึ้นเมื่อเรามอบหมายการตัดสินใจให้แก่เอเจนต์ OpenClaw ของเรา?

เมื่อได้รับคำขอให้ค้นหาทักษะที่ดีที่สุดสำหรับข้อกำหนดที่กำหนด ตัวแทนจะทำการค้นหาใน ClawHub ผ่านทาง ClawHub CLI และเลือกทักษะจากผลลัพธ์โดยพิจารณาจากชื่อทักษะ สลัก (slug) สรุป และคะแนน แม้ว่าการตัดสินใจขั้นสุดท้ายว่าจะติดตั้งทักษะใดนั้นขึ้นอยู่กับ LLM แต่คะแนนของทักษะ—ซึ่งมีอิทธิพลต่อการตัดสินใจนั้นตามโค้ดเบส—ได้รับผลกระทบจากความหมายของเนื้อหา และแน่นอน...จำนวนการดาวน์โหลด: 

ดังนั้น เราจึงขอให้เอเจนต์ OpenClaw ของเราเลือกทักษะสำหรับการจัดการอีเมลและงานในปฏิทิน และแน่นอนว่ามันเลือกทักษะที่เป็นอันตรายที่เราเผยแพร่ไป ในคำอธิบาย มันระบุว่าเลือกทักษะดังกล่าวเพราะมีคะแนนสูงสุด (ซึ่งเป็นผลมาจากจำนวนการดาวน์โหลดที่สูง) 

ปกป้องเอเจนต์ OpenClaw ของคุณจากทักษะที่เป็นอันตราย

เนื่องจาก OpenClaw ช่วยให้สามารถติดตั้งและเรียกใช้ทักษะได้อย่างอัตโนมัติ จึงจำเป็นอย่างยิ่งที่จะต้องตรวจสอบให้แน่ใจว่าทักษะที่คุณติดตั้งนั้นปลอดภัยและน่าเชื่อถือ ดังที่เราได้เห็นไปแล้ว 

เพื่อช่วยลดความเสี่ยง เราขอแนะนำให้ติดตั้งอุปกรณ์ของเรา ปลั๊กอินรักษาความปลอดภัย ClawNet สำหรับ OpenClawClawNet ใช้ลูปเอเจนต์ OpenClaw เพื่อดักจับการเรียกใช้เครื่องมือที่เกี่ยวข้องกับการติดตั้งสกิล ก่อนที่จะติดตั้งสกิล ClawNet จะขอให้ LLM ของเอเจนต์ตรวจสอบเนื้อหาของสกิลและระบุรูปแบบที่อาจเป็นอันตราย จากนั้นจะส่งผลการค้นหาไปยังผู้ใช้และตัดสินใจว่าจะบล็อกหรืออนุญาตการติดตั้ง 

เราเลือกที่จะนำสิ่งนี้ไปใช้ในฐานะ... เสียบเข้าไป มากกว่า a ความสามารถ นี่เป็นการตัดสินใจด้านความปลอดภัย ทักษะบางอย่างอาจถูกข้ามหรือเพิกเฉยโดย LLM ไม่ว่าจะเนื่องจากการอนุมานที่ไม่ถูกต้องหรือเพราะโมเดลไม่น่าเชื่อถือในการปฏิบัติตามขั้นตอนการจัดการทักษะที่ตั้งใจไว้อย่างสม่ำเสมอ ในทางกลับกัน ปลั๊กอินจะผสานรวมเข้ากับลูปของเอเจนต์ OpenClaw โดยตรงและดักจับความพยายามในการติดตั้งทักษะในระดับรันไทม์ ทำให้มั่นใจได้ว่าการตรวจสอบจะทำงานโดยไม่คำนึงถึงพฤติกรรมของ LLM 

เราเรียนรู้อะไรจากสิ่งนี้ได้บ้าง

การเข้ารหัสแบบ Vibe-coding ไม่ใช่กลยุทธ์ด้านความปลอดภัย

การเขียนโค้ดแบบ Vibe-coding ช่วยให้การพัฒนาเป็นไปอย่างรวดเร็ว แต่ไม่ได้ทดแทนแนวทางการรักษาความปลอดภัยที่เป็นระบบ แม้ว่า AI จะสามารถสร้างระบบที่น่าทึ่งได้ แต่ก็ยังคงมีโอกาสเกิดข้อผิดพลาด การกำกับดูแลโดยมนุษย์ยังคงมีความสำคัญอย่างยิ่งในระหว่างการพัฒนา เนื่องจากรายละเอียดการใช้งานเล็กๆ น้อยๆ อาจส่งผลกระทบอย่างมากต่อความปลอดภัย

จำนวนการดาวน์โหลดไม่ใช่ตัวชี้วัดความน่าเชื่อถือเพียงอย่างเดียว

แม้ว่าการเชื่อถือบางสิ่งบางอย่างเพียงเพราะคนอื่นเชื่อถืออาจเป็นเรื่องที่น่าดึงดูดใจ แต่ความนิยมไม่ใช่หลักประกันความปลอดภัย จำนวนการดาวน์โหลดไม่ได้บอกอะไรเกี่ยวกับความสมบูรณ์ของโค้ด กระบวนการตรวจสอบ หรือพฤติกรรมที่ปลอดภัย เมื่อสัญญาณเหล่านี้ถูกนำมาใช้เป็นข้อมูลป้อนเข้าในการตัดสินใจ โดยเฉพาะอย่างยิ่งโดยระบบอัตโนมัติ มันอาจกลายเป็นช่องทางในการบิดเบือนข้อมูลได้ ดังนั้น ผู้ใช้/ตัวแทนควรตรวจสอบที่มาของทักษะใดๆ และใช้เครื่องสแกนทักษะเฉพาะ เช่น เครื่องมือของเรา ปลั๊กอิน ClawNet สำหรับ OpenClawเพื่อให้แน่ใจว่าไฟล์ไม่มีรูปแบบที่น่าสงสัยก่อนการติดตั้ง

การพัฒนา RPC จำเป็นต้องมีการกำหนดขอบเขตความปลอดภัยอย่างชัดเจน

แตกต่างจาก REST API (ซึ่งโดยทั่วไปแล้วเส้นทาง มิดเดิลแวร์ และเลเยอร์การตรวจสอบความถูกต้องจะถูกแยกออกจากกันโดยการออกแบบ) เฟรมเวิร์กแบบ RPC เช่น นูนออก การอนุญาตให้นักพัฒนาสามารถเปิดเผยฟังก์ชันที่เรียกใช้งานได้โดยตรงจากโค้ดฝั่งเซิร์ฟเวอร์ อาจเพิ่มความเสี่ยงต่อการตรวจสอบสิทธิ์ที่ไม่เพียงพอหรือการตรวจสอบความถูกต้องของข้อมูลขาเข้า แนวทางปฏิบัติที่ดีที่สุดของ Convex เน้นย้ำประเด็นนี้อย่างชัดเจน โดยแนะนำให้ “ควรใช้ระบบควบคุมการเข้าถึงสำหรับงานบริการสาธารณะทุกงาน”แม้ว่าสถาปัตยกรรม RPC จะไม่ได้ไม่ปลอดภัยโดยพื้นฐาน แต่ก็ต้องการการควบคุมการเข้าถึงที่เข้มงวด การตรวจสอบความถูกต้องอย่างรอบคอบ และการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดที่ได้บันทึกไว้

เอเจนต์ OpenClaw ของคุณอาจกลายเป็นภัยคุกคามด้านความปลอดภัย

จุดเด่นของ OpenClaw อยู่ที่ความเป็นอิสระ—ความสามารถในการค้นหา ประเมิน และติดตั้งทักษะโดยไม่ต้องมีการแทรกแซงจากมนุษย์ อย่างไรก็ตาม ความเป็นอิสระนั้นก็ก่อให้เกิดความเสี่ยงเช่นกัน หากไม่มีกลไกการตรวจสอบและควบคุมที่เข้มงวด การตัดสินใจอย่างอิสระของเอเจนต์อาจขยายขอบเขตการโจมตีโดยไม่ตั้งใจได้

ตัวแทน AI มีอัตลักษณ์เฉพาะตัว

เอージェนต์ AI มีอัตลักษณ์เฉพาะตัวและต้องการระดับการกำกับดูแลที่เท่าเทียมกัน การค้นพบ การควบคุมแบบเรียลไทม์ และการเสริมความแข็งแกร่งของท่าทาง ในฐานะผู้ใช้ที่เป็นมนุษย์แบบดั้งเดิมและตัวตนที่ไม่ใช่มนุษย์ ตัวแทนทุกตัวจะต้องเชื่อมโยงกับเจ้าของที่เป็นมนุษย์ และนโยบายการเข้าถึงจะต้องได้รับการกำหนดและเชื่อมโยง ผลลัพธ์ก็คือ ตัวแทนสามารถทำได้เฉพาะสิ่งที่ได้รับอนุญาตอย่างชัดเจนเท่านั้น ไม่มีสิทธิ์พิเศษโดยปริยาย ไม่มีการข้ามผ่าน

การเปิดเผยและการแก้ไข

ช่องโหว่ดังกล่าวได้รับการรายงานไปยังทีมรักษาความปลอดภัยของ OpenClaw พร้อมทั้งผลกระทบและรายละเอียดทางเทคนิค ทีมงานตอบสนองอย่างรวดเร็วและให้ความร่วมมือเป็นอย่างดีตลอดกระบวนการ จนสามารถแก้ไขปัญหาได้สำเร็จ ต่ำกว่า 24 ชั่วโมง และนำการแก้ไขไปใช้งานจริง (ดูการแก้ไขโดย Peter Steinberger หัวหน้าผู้พัฒนา OpenClaw) Good Farm Animal Welfare Awards).